암호 관리자가 있습니까? 좋은데 잘못 사용하고 있다
게시 됨: 2022-01-29축하합니다! 당신은 우리의 조언에 따라 암호 관리자를 설치했습니다! 모든 비밀번호를 기억하도록 훈련시켰을 수도 있습니다. 그러나 나쁜 비밀번호를 강력한 고유 비밀번호로 바꾸셨습니까? 아무도 추측할 수 없는 강력한 마스터 암호로 모든 암호를 보호했습니까? 간단히 말해서: 비밀번호 관리자를 올바르게 사용하고 있습니까?
UC Berkeley의 사용 가능한 개인 정보 보호 및 보안 트랙의 강사이자 코스 책임자인 Stuart Schechter는 그렇지 않다고 걱정합니다. 그는 대학원생들에게 당신이 무엇을 하고 있는지 알아보도록 격려했습니다. 2021년 가상 RSA 보안 컨퍼런스에서 Schechter와 대학원생 David Ng는 발견한 내용을 공개했습니다.
암호가 죽었으니 암호 만세
Schechter는 작년 RSAC에서 N95 마스크를 쓰고 있던 사람이라고 자신을 소개했습니다. 그는 이것이 코로나바이러스 전염병에 대한 어떤 종류의 선견지명 때문이 아니라 데이터가 없는 상황에서 낙관적인 가정을 하는 것을 꺼리기 때문이라고 지적했습니다. 마찬가지로 데이터가 없으면 소비자가 암호 관리자를 사용해야 한다고 가정할 수 없습니다.
Schechter는 우리가 암호를 점점 덜 사용하게 될 것이라고 말한 Bill Gates의 2004년 예측을 떠올렸습니다. Schechter는 "Microsoft는 암호를 근절하는 것에 대해 마치 천연두와 같은 질병인 것처럼 말했습니다. "하지만 비밀번호가 늘어나는 것에 대해 별도의 캠프는 베팅하는 것이지 사라지는 것이 아닙니다." 그는 암호를 끝내기 위한 Microsoft의 2006년 CardSpace 릴리스(아직 없었음) 및 Windows 10이 암호의 끝을 의미한다는 선언(그렇지 않음)과 같은 이벤트와 함께 암호 관리자의 진화에 대해 자세히 설명했습니다.
암호 관리자를 사용하면 한 가지 본질적인 위험이 있습니다. 모든 달걀을 한 바구니에 담는 것입니다. 드물게 해킹 팀이 암호 관리자를 해킹하면 문제가 발생합니다. 암호 관리자를 사용하면 피싱 사기로부터 보호할 수 있는 수많은 이점이 있습니다.
“당신은 당신이 모르는 암호를 입력하기 위해 암호 관리자에 의존합니다. 피싱 사이트를 공격하면 비밀번호 관리자가 사이트를 채우지 않습니다.”라고 Schechter가 말했습니다. "암호 관리자에서 찾아봐야 하고 그것만으로도 피싱을 당하고 있다는 큰 단서가 됩니다."
최고의 비밀번호 관리자
이전 연구에서 Schechter와 동료는 개인이 강력한 암호를 기억하는 능력을 평가했습니다. 좋은 뉴스? 그들은 거의 모든 사람이 매우 강력한 암호를 기억할 수 있다고 판단했습니다. 하지만 나쁜 소식은 그렇게 하려면 최소 30분 간격으로 20-30회의 교육 세션이 필요하고 정기적으로 사용하지 않으면 비밀번호를 잊어버릴 수 있다는 것입니다.
암호 관리자 사용의 모든 이점은 세 가지 가정에 따라 달라집니다. 사용자가 강력한 암호를 기억할 것이라고 가정합니다. 그들은 임의의 암호를 생성하는 암호 관리자의 능력에 의존할 것입니다. 취약하거나 재사용되거나 손상된 모든 비밀번호를 변경합니다. 그러나 그 가정이 정확합니까? 데이터가 없는 상황에서 낙관론을 선택하는 대신 Schechter는 대학원생들에게 진실을 찾도록 격려했습니다.
데이터, 데이터, 데이터
대학원생인 David Ng는 그룹이 참가자를 찾은 방법에 대해 자세히 설명하여 초기에 약 2,500명에서 5개월 이상 암호 관리자를 사용한 사람을 약 100명으로 줄였습니다. 최소 5개의 비밀번호를 관리합니다. 암호 관리자의 보안 대시보드 스크린샷을 기꺼이 제공했습니다.
그렇다면 참가자들은 강력한 마스터 비밀번호를 사용했을까요? 암호 관리자가 암호를 생성하여 기억하도록 한 사람은 거의 없었습니다. PCMag에서 종종 제안하는 것처럼 훨씬 더 큰 그룹이 니모닉 장치를 사용하여 암호를 만들었습니다. 아아, 가장 큰 그룹은 익숙한 비밀번호를 비밀번호 관리자의 마스터 키로 재사용했다고 인정했습니다.
비밀번호 관리자를 사용하여 모든 비밀번호를 12345678 또는 다른 끔찍한 비밀번호로 설정한 채로 키 입력을 저장할 수 있습니다. 물론 적절한 사용을 위해서는 취약한 비밀번호를 비밀번호 유틸리티에서 생성한 비밀번호로 변경해야 합니다. 연구에 따르면 Chrome에 내장된 비밀번호 관리자에 의존하는 사람들 중 겨우 5분의 1만이 비밀번호를 생성하도록 허용했습니다. 타사 유틸리티에 의존하는 사람들의 약 절반이 이 기능을 활용했습니다.
연구는 참가자들이 보안 대시보드 기능을 사용하여 취약하고 중복되며 손상된 암호를 식별하는 기능을 어떻게(및 사용했는지) 조사했습니다. 결과는 실망스러웠습니다. 암호 도구가 교체가 필요한 암호를 올바르게 식별했다는 데 동의한 참가자조차도 문제에 대해 아무 조치도 취하지 않았습니다. 너무 많은 작업이 필요하거나 비밀번호를 업데이트하면 문제가 발생할 수 있다고 우려했기 때문입니다.
사람들이 그들이하는 일을 알고 있다고 가정하지 마십시오
N은 보안 전문가와 개인에 대한 경고로 프레젠테이션을 마무리했습니다. 사람들에게 암호 관리자가 있다고 해서 완전히 보호되는 것은 아닙니다.
그는 "사람들이 강력한 마스터 암호를 선택할 것이라고 가정하지 마십시오. 암호 관리자가 만든 암호를 사용할 것이라고 가정하지 마십시오. 또한 취약하거나 재사용되거나 손상된 암호를 대체할 것이라고 가정하지 마십시오. 생각날 때.”
편집자 추천
비밀번호를 올바르게 사용하는 방법
너무 많은 사람들이 암호 관리자를 설치한 다음 제대로 사용하지 않는 것을 보았습니다. 그들처럼하지 마십시오! 그들의 실수가 당신이 가르칠 수 있는 순간이 되도록 하십시오.
해당 마스터 비밀번호로 시작하십시오. 언급했듯이 로그인 자격 증명의 보물을 보호하므로 기억할 수 있지만 아무도 추측할 수 없는 것이어야 합니다. 우리의 조언에 따라 좋아하는 시나 노래를 암호로 바꾸거나 개인 생활에서 추측할 수 없는 것을 선택하십시오.
거기서 멈추지 마세요! 다단계 인증을 활성화하여 소중한 암호의 보호를 강화하십시오. 최고의 암호 관리자는 모두 그것을 가지고 있습니다. 이제 당신에게만 다른 인증 요소가 있기 때문에 추측할 수 없는 비밀번호를 훔치는 악당도 들어갈 수 없습니다. 그 요인은 생체 인식일 수도 있고 주머니에 있는 휴대전화의 앱을 통해 작동할 수도 있습니다(다른 누구도 아닌).
많은 암호 관리자가 저장된 암호를 평가하여 잘못된 암호, 여러 번 사용했거나 데이터 유출로 노출된 암호에 플래그를 지정합니다. 지루한 작업이라는 것을 알고 있지만, 이를 통해 작업하고 길고 강력한 새 비밀번호로 모두 교체해야 합니다. 최악의 것부터 시작하여 모든 암호가 완벽해질 때까지 한 번에 몇 가지를 수행하십시오. 새 암호를 생각할 필요가 없습니다. 귀하의 비밀번호 관리자가 귀하를 위해 비밀번호를 생성할 것입니다.
휴대폰의 작은 키보드에 암호를 입력하고 싶지 않기 때문에 복잡한 암호를 사용하는 것을 거부한 적이 있습니까? 더 이상 저항하지 마십시오! 비밀번호 관리자의 모바일 앱을 설치하고 계정에 연결합니다. 이제 전화로 로그인하는 것은 간단합니다.
도전에 응하여 비밀번호 관리자를 올바르게 사용하는 방법을 배우십시오. 당신이 충분히 알고 있다면 아마도 다음 연구에서 일부 사람들이 이러한 유용한 프로그램의 완전한 혜택을 받을 만큼 충분히 똑똑하다는 것을 보여줄 것입니다.